Metodologie di mappatura e di valutazione delle aree di rischio

Transcript

1 Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/01 - Piano di Prevenzione della Corruzione (ai sensi della legge 190/12 Disposizioni per la prevenzione e la repressione della corruzione e dell illegalità nella pubblica amministrazione, dei decreti attuativi e del Piano nazionale Anticorruzione - P.N.A.) Metodologie di mappatura e di valutazione delle aree di rischio Parte Speciale A 1 dicembre 2014 (rev.1) Spezia Risorse S.p.a. 1 dicembre 2014 pag. 1 / 18

2 Sommario 1 Premessa Riferimenti normativi e metodologici Linee Guida Confindustria Sistema d identificazione e gestione dei rischi L ambito di applicazione dell analisi e valutazione dei rischi/reato La metodologia di lavoro La realizzazione del progetto Documentazione analizzata Introduzione al risk assessment e risk management Sviluppo della mappatura o identificazione delle aree a rischio Finalità della mappatura Identificazione delle aree a rischio Analisi preliminare delle funzioni a rischio Parte Speciale B Mappatura dei processi sensibili Parte Speciale C Parte Speciale B. Analisi preliminare delle funzioni a rischio Valutazione del rischio lordo nelle funzioni aziendali Parte Speciale B La strutturazione in forma tabellare Gradi di valutazione preliminare dei Rischi Reato 231 Rischio lordo Parte Speciale C - Mappatura dei processi sensibili Approccio metodologico Rilevazione del sistema di controlli e mitigazione del rischio esistente Approccio metodologico adottato Probabilità di accadimento Vulnerabilità Rischio netto quale risultante di vulnerabilità e probabilità di accadimento Rappresentazione grafica Parte Speciale C - Mappatura dei processi sensibili Applicazione Relazione rischio lordo, misure di mitigazione e rischio netto Misure di mitigazione o protocolli Conseguimento del rischio netto o residuo Valutazione del rischio accettabile secondo le Linee guida Confindustria Parte speciale C - La strutturazione tabellare Glossario Spezia Risorse S.p.a. 1 dicembre 2014 pag. 2 / 18

3 1 Premessa La presente Parte Speciale A del modello organizzativo ex D. Lgs. 8 giugno 2001 n. 231 è finalizzata a descrivere : - i criteri di mappatura e di valutazione dei rischi reato ex D. Lgs. 231/01 - le fattispecie di Reato ex D.Lgs. 231/01 1. Questa Parte Speciale, così come la parte restante del Modello 231 della Società sono messi a disposizione per la consultazione nella rete aziendale. 2 Riferimenti normativi e metodologici Per la redazione della presente Parte Speciale A, si è fatto riferimento a: - il D. Lgs. 8 giugno 2001 n. 231 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell articolo 11 della legge 29 settembre 2000, n. 300, e si sono tratti spesso elementi di riferimento teorici e generali da: - le Linee guida per la costruzione di modelli di organizzazione, gestione e controllo ex D. Lgs. 231/2001 elaborate da Confindustria e validate dal Ministero della Giustizia (da qui in poi Linee Guida Confindustria ). - Linea guida ISO 31000:2010 Gestione del rischio - principi e linee guida. Il Decreto Legislativo 8 giugno 2001 n. 231 (da qui anche solo Decreto ), all art. 6, comma 2, indica in maniera specifica le caratteristiche essenziali per la costruzione di un modello di organizzazione, gestione e controllo; in particolare le lettere a) e b) rimandano, sostanzialmente, alla elaborazione di un sistema di gestione dei rischi. 2.1 Linee Guida Confindustria Per rispondere alle esigenze dell art. 6, comma 2, del Decreto, le Linee Guida Confindustria suggeriscono la costruzione di un modello di organizzazione, gestione e controllo sostanzialmente equivalente ad un sistema di gestione dei rischi (risk management) che, in relazione all'estensione dei poteri delegati ed al rischio di commissione dei reati presupposto dal Decreto, deve rispondere alle seguenti esigenze: 1. individuare le attività aziendali nel cui ambito possono essere commessi i reati presupposto dal Decreto ( processi sensibili ); 2. prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni della Società in relazione ai reati presupposto dal Decreto da prevenire. 2.2 Sistema d identificazione e gestione dei rischi Ai fini del presente documento, le fasi fondamentali in cui si articola il sistema di gestione dei rischi sono le seguenti: 1 L elenco dei reati ex D.Lgs. 231/01 è anche indicato come catalogo : Spezia Risorse S.p.a. 1 dicembre 2014 pag. 3 / 18

4 1. identificazione delle aree a rischio o aree sensibili ( risk mapping ); 2. rilevazione del sistema di controlli esistente e progettazione finalizzata alla mitigazione dei rischi reato ( risk assessment e risk management ). 3 L ambito di applicazione dell analisi e valutazione dei rischi/reato 231 Spezia Risorse Spa ( Società ) ha avviato un progetto finalizzato alla realizzazione di un proprio Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/01. A tale fine è stato costituito un Gruppo di lavoro avente il compito di: - facilitare le relazioni con il personale della Società coinvolto dal progetto; - verificare ed approvare i risultati ottenuti durante le diverse fasi del progetto; - approvare i documenti redatti durante le fasi del progetto da portare all attenzione dell Organismo di Vigilanza. - rilevare le procedure esistenti, le informazioni e la documentazione utile alla realizzazione delle cosiddetta mappatura dei rischi per le varie aree aziendali (operando principalmente per differenza rispetto a quanto già realizzato e adottato). 4 La metodologia di lavoro 4.1 La realizzazione del progetto Per realizzare la fase di analisi e valutazione dei rischi in relazione alla commissione dei reati contemplati dal D. Lgs. 231 (di seguito Reati Presupposto ) all interno della Società, sono state svolte le seguenti attività operative e metodologiche: - costituzione di un Gruppo di Lavoro; - condivisione della metodologia di lavoro da utilizzarsi nel progetto e definizione del piano di lavoro; - predisposizione ed utilizzo di apposite check-list, utilizzate durante le interviste di analisi e valutazione dei rischi di commissione dei Reati Presupposto ai responsabili delle divisioni aziendali. Le interviste svolte dai Consulenti sono documentate da appositi verbali, approvati dai Responsabili aziendali intervistati. 4.2 Documentazione analizzata Per le indagini documentali si è analizzata la seguente documentazione (o se ne è verificata l esistenza o la non sussistenza): Informazioni societarie Dati concernenti la sede e le attività svolte; Assetto proprietario. Spezia Risorse S.p.a. 1 dicembre 2014 pag. 4 / 18

5 Organigrammi aziendali e funzioni aziendali (con eventuale mansionario/job description, regolamenti e ordinamenti); Sistema organizzativo. Atto costitutivo, poteri e servizi in outsourcing Statuto; Atti di assemblee che hanno portato a sostanziali modifiche dell atto costitutivo; Sistema delle deleghe: poteri del Presidente, dei procuratori e dei soggetti delegati; Composizione del Consiglio di Amministrazione e del Collegio Sindacale. Documento di valutazione dei rischi Documento programmatico sulla sicurezza 4.3 Introduzione al risk assessment e risk management In senso generale, il termine rischio esprime un esposizione all incertezza. Il rischio è un entità stimabile in termini economici, qualitativi o quantitativi. La capacità d identificazione e valutazione dei rischi (Risk Assessment) e la capacità di governo dell intero processo di gestione dei rischi (Risk Management) sono un elemento di buon governo e, quindi, di un più probabile successo della gestione aziendale. Ogni azione umana e, a maggior ragione, l attività legata al business, è soggetta al rischio: il governo del rischio è quindi un tratto distintivo dell azione imprenditoriale, nonché una componente fondamentale del management. Realizzare interventi di Risk Assessment significa quindi identificare, analizzare e valutare il rischio presente nell ambito aziendale considerato, stimandone il valore e verificandone il livello di accettabilità, in coerenza con i criteri definiti dal management aziendale. Tale valutazione consentirà di ordinare i vari rischi secondo priorità, onde poter orientare l attenzione del management e la scelta di soluzioni di gestione. Tali concetti di base concernenti la valutazione e la gestione dei rischi aziendali sono appropriati anche nell analisi dei rischi di commissione dei reati presupposto del Decreto. Molteplici sono gli approcci alla gestione del rischio e numerosi sono gli standard e le linee guida internazionali di riferimento tra cui citiamo la linea guida ISO 31000:2010 cui ci si è ispirati par le fasi di risk management e risk assessment del Modello 231. In particolare, la linea guida ISO fornisce principi e indirizzi generali sulla gestione di qualsiasi tipo di rischio per ogni tipo di organizzazione, la norma si sviluppa sulla base di alcuni principi cardine quali il fatto che il risk management è parte integrante di tutti i processi organizzativi e soprattutto del processo decisionale. Spezia Risorse S.p.a. 1 dicembre 2014 pag. 5 / 18

6 5 Sviluppo della mappatura o identificazione delle aree a rischio 5.1 Finalità della mappatura La mappatura delle funzioni e dei processi aziendali a rischio di commissione dei reati presupposto, con le relative valutazioni sul grado di rischio, costituisce un elemento informativo base per l impostazione e l aggiornamento del Modello di Organizzazione, Gestione e Controllo, nonché per ispirare le azioni di controllo dell Organismo di Vigilanza. Per tali motivazioni, le valutazioni sul rischio di commissione dei reati presupposto devono essere periodicamente aggiornate, al fine di adeguare i controlli preventivi alle dinamiche del contesto aziendale. La fase di mappatura rappresenta, quindi, il riferimento preliminare per la valutazione e l analisi dei rischi reato all interno della Società. Al termine della mappatura e dell analisi, i risultati sono riportati all interno di specifiche tavole sinottiche che consentono di identificare i rischi rilevanti a livello di rischio lordo (cioè senza valutare l effetto dei presidi in essere) e a livello di rischio netto (cioè con la disponibilità e l applicazione dei presidi in essere). Viene poi affidata a una seconda fase l individuazione d idonee misure preventive atte a mitigare il livello di rischio entro un livello di nessuna o bassa gravità ed in quanto tale accettabile. 5.2 Identificazione delle aree a rischio Il Spezia Risorse Spa ha scelto come proprio approccio metodologico per la mappatura delle aree a rischio quello di seguito riportato nella presente Parte Speciale A. La fase di identificazione delle aree a rischio è consistita nell inventariazione: - le funzioni aziendali di attività dove incorrono rischi potenziali di commissione del reato, come riportato nell Analisi preliminare delle funzioni a rischio - Parte speciale B, - i processi in cui i reati presupposto hanno possibilità di essere commessi: come riportato nella Mappatura dei processi sensibili - Parte speciale C. In particolare le Linee Guida Confindustria intendono, per inventariazione degli ambiti di attività, l analisi del contesto aziendale al fine di evidenziare dove (in quale area / settore di attività / funzione) e secondo quali modalità (processi), si possono verificare eventi pregiudizievoli per gli obiettivi indicati dal Decreto. Per ogni area identificata a seguito di tale analisi si procede poi alla identificazione delle cause del rischio di commissione dei reati individuati. Sono possibili diversi approcci per lo svolgimento di tale processo: per attività, per funzioni, per processi. Esso comporta, in particolare, il compimento di una revisione periodica esaustiva della realtà aziendale con l obiettivo di individuare le aree che risultano, in via astratta, interessate dalle potenziali casistiche di reato. Le valutazioni dei livelli di rischio reato 231 della Società, riportate nelle Parti Speciali, sono state condotte sulla base delle analisi effettuate tramite interviste ai Responsabili aziendali interessati (cfr 3.1) e facendo riferimento ad una metodologia di valutazione dei rischi (sviluppata dalla società di consulenza Sernet Spa e riportata nella presente parte speciale A che garantisce il rispetto dei requisiti richiesti dal D. Lgs. 231/01 in merito alla mappatura e valutazione dei rischi e, quindi, in linea con una costruzione del Modello 231 che presenti la caratteristica di esimenza per la Società. Spezia Risorse S.p.a. 1 dicembre 2014 pag. 6 / 18

7 5.3 Analisi preliminare delle funzioni a rischio Parte Speciale B In via preliminare, le valutazioni dei rischi reato 231 sono state condotte nell ottica di individuare quali, tra i diversi reati presupposto, presentino, per loro natura, un rischio significativo di commissione nelle funzioni aziendali operanti nella Società e, pertanto, siano da sottoporre successivamente a ulteriore e specifico approfondimento di analisi ex D. Lgs Il rischio così evidenziato è considerato come rischio lordo. Nella Parte Speciale B, sviluppata in forma tabellare, sono state riportate le valutazioni di rischio preliminari eseguite nel corso del 2013 per ciascuno dei reati 231, sulla base di uno schema predefinito che evidenzia i reati previsti dal D. Lgs. 231 e le funzioni aziendali presenti nella Società. 5.4 Mappatura dei processi sensibili Parte Speciale C In seguito all Analisi preliminare ( Parte Speciale B ), per ciascuna delle classi dei reati 231 valutate preliminarmente con un livello di rischio lordo significativo (ovvero un livello di rischio superiore a basso ), sono state effettuate le valutazioni di rischio più approfondite, focalizzando l attenzione sui cosiddetti processi sensibili (vedi documento Parte Speciale C ), ossia i processi nell ambito dei quali sia più verosimile la commissione dei reati 231 focalizzando l attenzione sui cosiddetti processi strumentali, ossia i processi nel cui ambito ed in linea di principio potrebbero crearsi strumenti ovvero configurarsi condizioni o mezzi per la commissione dei reati di cui al D. Lgs. 231/01. Le valutazioni più approfondite e l individuazione (eventuale) d ipotesi d intervento per la riduzione dei rischi sono riportate nella Parte Speciale C del Modello di Organizzazione e Gestione ex D. Lgs. 231/01 della Società. Spezia Risorse S.p.a. 1 dicembre 2014 pag. 7 / 18

8 codifica Consiglio di Amministrazion e Presidente del Consiglio di Amministrazion e Area tecnica Area legale sevizi generali Amministrazion e Finanza e controllo di gestione Funzione A Funzione B Parte Speciale A Modello di organizzazione, gestione e controllo ex D. Lgs. 231/01 6 Parte Speciale B. Analisi preliminare delle funzioni a rischio 6.1 Valutazione del rischio lordo nelle funzioni aziendali La valutazione del rischio lordo è stata condotta sulla base dello studio del contesto aziendale, delle interviste svolte ai responsabili di funzione, sull analisi della documentazione messa a disposizione dalla Società: i verbali del CdA che riportano i poteri e le deleghe assegnati, i modelli di contratti con clienti e fornitori, la documentazione societaria, il bilancio civilistico, le informative per i lavoratori e il personale esterno, la presenza o meno di procedimenti legali in merito ai reato 231. Le valutazioni di rischio sono espresse in termini qualitativi, perché questa metodologia di valutazione è stata considerata la più idonea a rappresentare il livello di rischio per processo/reato in base alle informazioni a disposizione. 6.2 Parte Speciale B La strutturazione in forma tabellare La parte speciale B è stata sviluppata in due documenti distinti, uno relativo alle funzioni di Governance e l altro alle funzioni di Supporto, lo sviluppo è in forma tabellare secondo lo schema qui riportato quale esempio: Reato 1.1 Concussione (art. 317 c.p.) A = rischio alto MA= rischio medio alto M = rischio medio MB= rischio medio basso B = rischio basso NR = non realizza bile NA = non applica bile Nelle Parte Speciale B sono riportati i livelli di rischio preliminare, per ogni reato/funzione aziendale. Al fine di facilitare la lettura di un documento, complesso e articolato, sono stati utilizzati colori identificativi dei livelli di rischio. La chiave di lettura è descritta nel paragrafo successivo. 6.3 Gradi di valutazione preliminare dei Rischi Reato 231 Rischio lordo Rischio alto (A): alta possibilità di accadimento della commissione del reato (frequenti e ripetitive attività o operazioni che sono di presupposto al reato), alto impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari ed eventi a rischio che si sono manifestati in passato. Ruolo rilevante della funzione indicata nella conduzione dell attività a rischio. Rischio medio alto (M/A): alta possibilità di accadimento della commissione del reato (frequenti e ripetitive attività o operazioni che sono di presupposto al reato), alto impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio che si è manifestato in passato. Ruolo rilevante della funzione indicata nella conduzione dell attività a rischio. Rischio medio (M): media possibilità di accadimento della commissione del reato (non frequenti e mediamente ripetitive attività o operazioni che sono di presupposto al reato) e medio/alto impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio in passato. Ruolo di rilievo, ma non esclusivo, della funzione indicata nella conduzione dell attività a rischio. Spezia Risorse S.p.a. 1 dicembre 2014 pag. 8 / 18

9 Rischio medio (M/B): media possibilità di accadimento della commissione del reato (non frequenti e mediamente ripetitive attività o operazioni che sono di presupposto al reato) e medio impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio che si è manifestato in passato. Ruolo di rilievo, ma non esclusivo, o ruolo non significativo della funzione indicata nella conduzione dell attività a rischio. Rischio basso (B): bassa possibilità di accadimento della commissione del reato (poche o scarse attività o operazioni che sono di presupposto al reato) medio impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio in passato. Ruolo non significativo della funzione indicata nella conduzione dell attività a rischio e nessun precedente giudiziario nelle storia della società. Rischio non realizzabile (NR): reato solo teoricamente realizzabile, i valori etici di riferimento e il contesto operativo in cui la società opera sono tali da non creare le condizioni e/o non permettere e/o non tollerare la commissione di simili reati oppure nessun ruolo della funzione indicata nella conduzione dell attività a rischio. Rischio non applicabile (NA): non si rilevano le condizioni oggettive e di applicabilità normativa nella realizzazione del reato in oggetto (quotazione in borsa, operatività su mercati azionari). In ogni caso anche i rischi valutati a un livello basso o non realizzabili, sono stati tenuti in considerazione all interno dell intero Modello. In particolare nel Codice Etico sono stati inseriti comportamenti generali atti a prevenire la commissione dei reati 231. Spezia Risorse S.p.a. 1 dicembre 2014 pag. 9 / 18

10 7 Parte Speciale C - Mappatura dei processi sensibili Approccio metodologico 7.1 Rilevazione del sistema di controlli e mitigazione del rischio esistente La fase di rilevazione e progettazione del sistema di controlli finalizzata alla mitigazione dei rischi esistenti, sviluppata nella parte speciale C, prevede la valutazione del sistema di controlli preventivi esistente (o protocolli ), con un suo eventuale adeguamento qualora fosse insufficiente o addirittura una costruzione ex novo laddove l ente ne fosse sprovvisto. La parte speciale C è sviluppata anch essa in forma tabellare. Il sistema dei controlli preventivi dovrà essere tale da garantire l eliminazione o almeno la mitigazione del rischio di commissione dei reati, entro una soglia ritenuta bassa. Il criterio di valutazione di un rischio residuo (così come definito nel successivo 6.7) basso è rappresentato dalla presenza di un sistema di prevenzione (o mitigazione del rischio) tale da non poter essere aggirato se non fraudolentemente dal soggetto fisico che commette l illecito. 7.2 Approccio metodologico adottato La valutazione del livello di rischio reato nell ambito dei processi aziendali si basa su un indicatore qualitativo, secondo la scala alto-medio-basso, che tiene conto di due fattori fondamentali: - probabilità di accadimento = P - vulnerabilità = V Tale impostazione è finalizzata ad apprezzare il cosiddetto rischio netto. 7.3 Probabilità di accadimento Le valutazioni concernenti la probabilità di accadimento di un potenziale reato presupposto in uno specifico processo fanno riferimento alla frequenza (o numerosità) delle attività del processo stesso. Pertanto si considera, per esempio, una limitata probabilità di accadimento quando il processo a rischio non sia frequente e non solo perché sia improbabile in assoluto un comportamento illecito. La probabilità di accadimento si valuta secondo una scala a tre valori: alto, medio e basso. La probabilità di accadimento consiste nella frequenza effettiva o possibilità di svolgimento in azienda di un processo a rischio reato. In particolare i fattori considerati sono: - Trattamento informatico (o manuale) delle operazioni e delle transazioni a rischio; - Volume delle operazioni e delle transazioni a rischio; - Ristrettezza del tempo di conduzione delle operazioni e delle transazioni a rischio; - Numero delle persone implicate nelle operazioni e nelle transazioni a rischio (segregation of duties); - Complessità delle operazioni e delle transazioni a rischio. Probabilità di accadimento alta (PA) Probabilità di accadimento media (PM) Probabilità di accadimento bassa (PB) Processi ricorrenti Processi ricorrenti ma con bassa periodicità Processi occasionali Spezia Risorse S.p.a. 1 dicembre 2014 pag. 10 / 18

11 7.4 Vulnerabilità La vulnerabilità è valutata adottando una scala basata su tre valori: - alta vulnerabilità, - media vulnerabilità, - bassa vulnerabilità. Livello di vulnerabilità: effettiva presenza e corretta adozione di misure preventive in termini di procedure, livelli di controllo e organizzazione interna. Vulnerabilità alta (VA) Vulnerabilità media (VM) Vulnerabilità bassa (VB) Assenza di misure preventive Parziale presenza di misure preventive o inefficace adozione delle stesse Idonea presenza e adozione di misure preventive Il livello della vulnerabilità è connesso alla presenza di adeguate misure di mitigazione dei rischi o protocolli che sono rappresentate da presidi, sistemi procedurali, meccanismi di governance e gestione di ruoli / responsabilità / poteri, sistemi di deleghe, flussi informativi, ecc. Il livello di vulnerabilità è anche correlato alla gravità delle sanzioni in relazione alla commissione di ogni tipologia di reato presupposto. Per esempio, nel caso di commissione di reati societari dove non sono previste sanzioni di tipo interdittivo e/o dove le sanzioni pecuniarie sono previste in maniera ridotta, il livello di vulnerabilità non è mai valutabile alto. 7.5 Rischio netto quale risultante di vulnerabilità e probabilità di accadimento La scala di valutazione complessiva del rischio netto utilizzata è basata su cinque livelli di valutazione e precisamente: 1. Rischio netto alto 2. Rischio netto medio alto 3. Rischio netto medio 4. Rischio netto medio basso 5. Rischio netto basso La valutazione del rischio in una di queste cinque categorie deriva dai valori rilevati in relazione al livello di vulnerabilità, secondo i criteri di valutazione concordati con il management della Società sulla base della valutazione delle misure di prevenzioni esistenti, da creare o in via di revisione. In particolare, il livello di rischio netto è calcolato secondo la seguente tabella di evidenziazione dell entità del rischio che evidenzia cinque gradi di valutazione del rischio in funzione del livello di vulnerabilità: Rischio netto alto: probabilità alta/ vulnerabilità alta; Spezia Risorse S.p.a. 1 dicembre 2014 pag. 11 / 18

12 Rischio netto medio alto: 2 combinazioni: a) probabilità alta/ vulnerabilità media ; b) probabilità media/ vulnerabilità alta; Rischio netto medio: 3 combinazioni: a) probabilità alta/ vulnerabilità bassa; b) probabilità media/ vulnerabilità media; c) probabilità bassa/ vulnerabilità alta; Rischio netto medio - basso: 2 combinazioni: a) probabilità media / vulnerabilità bassa; b) probabilità bassa / vulnerabilità alta; Rischio netto basso: 1 combinazione: a) probabilità bassa/ vulnerabilità bassa. 7.6 Rappresentazione grafica In particolare il livello di rischio netto è posizionabile all interno della seguente tabella di evidenziazione dell entità del rischio: Spezia Risorse S.p.a. 1 dicembre 2014 pag. 12 / 18

13 8 Parte Speciale C - Mappatura dei processi sensibili Applicazione 8.1 Relazione rischio lordo, misure di mitigazione e rischio netto Partendo da un rischio lordo, a seguito dell applicazione dei protocolli si perviene alla determinazione di un rischio residuo o netto come risultante della messa in opera dei progetti di trattamento o delle attività di mitigazione. Rischio lordo ( 5) Protocolli in essere / Misure di Mitigazione ( 7.2) Rischio residuo o netto Il livello del rischio netto o residuo è connesso alla presenza di misure di mitigazione dei rischi o protocolli adeguate ed efficacemente attuate. 8.2 Misure di mitigazione o protocolli Le misure di mitigazione o protocolli sono rappresentate da presidi, sistemi procedurali, meccanismi di governance e gestione di ruoli/responsabilità/poteri, sistemi di deleghe, flussi informativi, ecc. A titolo indicativo e non esaustivo, Spezia Risorse fa ricorso alle seguenti misure di mitigazione e protocolli: - Codice Etico, - Carta dei Servizi, - Organigramma Aziendale, - Mansionari (descrizione del ruolo) e descrizioni dei requisiti minimi (competenze), - Sistema dei poteri e delle deleghe, - Sistema sanzionatorio del modello organizzativo - Regolamento interno - Utilizzo di applicativi informatici ed emissione di documentazione finalizzate alla tracciabilità degli atti - Sistema di accesso e di profilazione alle procedure informatiche - Procedura per la gestione delle entrate tributarie ed extratributarie - Comportamenti in qualità di incaricato di pubblico servizio - Normativa cogente in ambito di tributi locali - Procedura per l'affidamento per contratti di forniture servizi e lavori - Gestione albo fornitori - Procedura per la redazione del bilancio - Rimborsi spese ai dipendenti e collaboratori assimilati - Regolamento reclutamento personale - Comportamenti nei confronti della pubblica amministrazione - Predisposizione delle comunicazioni sociali, ai soci e ai terzi - Indagini, verifiche comunicazioni verso la Pa - Regolamento per il funzionamento del servizio cassa Spezia Risorse S.p.a. 1 dicembre 2014 pag. 13 / 18

14 - Monitoraggi periodici dell OdV, - Flussi informativi all OdV e sistema delle segnalazioni all OdV, - Piani di formazione periodici. - Protocollo Gestione flussi finanziari, pagamenti, incassi e cassa, - Protocollo Clausole contrattuali 231, - Protocollo Indagini, verifiche e comunicazioni verso la Pubblica Amministrazione, 8.3 Conseguimento del rischio netto o residuo Il rischio netto o residuo è valutato basso quando il livello di mitigazione del rischio di commissione del reato è tale (presenza di adeguate ed efficacemente attuate misure) che solo fraudolentemente possa essere commesso il reato in oggetto in violazione dei protocolli in essere. Nel caso in cui la valutazione di accettabilità del livello di rischio residuo (anche netto ) non sia ancora basso (e quindi accettabile), per taluni dei processi sensibili, sono proposte delle ipotesi di miglioramento su cui la Società si impegna ad intervenire per potenziare il sistema di protocolli già in atto e, quindi, per ridurre il livello di rischio ad un livello ritenuto accettabile o basso. La scala di valutazione complessiva del rischio netto utilizzata è, come già accennato, basata su cinque livelli di valutazione e precisamente: 1. Rischio netto alto 2. Rischio netto medio alto 3. Rischio netto medio 4. Rischio netto medio basso 5. Rischio netto basso In particolare. il livello di rischio netto è calcolato secondo la seguente tabella di evidenziazione dell entità del rischio che evidenzia cinque gradi di valutazione del rischio in funzione del livello di vulnerabilità: rischio netto alto: pregressi eventi a rischio e alta esposizione al rischio per mancanza di sufficienti misure di mitigazione (protocolli). Rischio netto medio alto: alta esposizione al rischio per mancanza di sufficienti misure di mitigazione (protocolli). Rischio netto medio: media esposizione al rischio per insufficienti misure di mitigazione (protocolli). Rischio netto medio - basso: contenuta esposizione al rischio per la parziale presenza di misure di mitigazione efficaci ed efficacemente adottate (protocolli). Rischio netto basso: bassa esposizione al rischio per la presenza di efficaci ed efficacemente adottate misure di mitigazione (protocolli). In particolare il livello di rischio netto è raffigurabile secondo la seguente tabella di evidenziazione dell entità del rischio: Spezia Risorse S.p.a. 1 dicembre 2014 pag. 14 / 18

15 Spezia Risorse S.p.a. 1 dicembre 2014 pag. 15 / 18

16 Codifica Reato associabile Funzione Interessata Rischio lordo Rischio residuo Parte Speciale A Modello di organizzazione, gestione e controllo ex D. Lgs. 231/ Valutazione del rischio accettabile secondo le Linee guida Confindustria Si perviene a un rischio accettabile seguendo questo processo iterativo proposto dalle Linee Guida di Confindustria. 1. Mappatura dei processi a rischio 2. Elenco dei rischi potenziali 3. Analisi del sistema di controllo preventivo esistente 4. Valutazione dei rischi residui (non coperti dai controlli in essere) 5. Adeguamento Sistema di controllo preventivo NO Rischio accettabile? SI RISULTATO: sistema di controllo in grado di prevenire i rischi 8.5 Parte speciale C - La strutturazione tabellare La Parte Speciale C è stata sviluppata in forma tabellare. Secondo lo schema qui riportato: Processo sensibile Modalità di commissione del reato Processo strumentale Protocolli in essere / Misure di mitigazione Come accennato, la valutazione dei rischio dei processi sensibili si è basata sulla valutazione dei rischi in due momenti successivi: - il rischio lordo (prima dell applicazione delle misure di mitigazione o protocolli); - il rischio residuo o netto (successivamente all applicazione delle misure di mitigazione o protocolli adottati). Spezia Risorse S.p.a. 1 dicembre 2014 pag. 16 / 18

17 I rischi lordi ( inherent risk ) sono quelli originati dalle specifiche attività svolte all interno di un processo o di un area aziendale indipendentemente dal sistema di controllo in essere o con l applicazione delle procedure in vigore. Si parla invece di rischio residuo o rischio netto ( net risk ) in seguito all applicazione di misure di mitigazione o protocolli mirati a mitigare il livello di rischio lordo. Nella matrice espressa nella Parte Speciale C, nella colonna rischio lordo, è stato considerato il livello più alto emerso nella fase di analisi riportata per singola funzione nella Parte Speciale B. Nella colonna denominata funzioni interessate sono riportate tutte le funzioni risultate sensibili dall analisi ed espresse nella Parte Speciale B a partire da rischio medio-basso. L analisi dei potenziali comportamenti che possano portare alla commissione dei reati, con riferimento al contesto operativo interno ed esterno in cui opera l azienda, è stata descritta nella colonna modalità di commissione del reato. Spezia Risorse S.p.a. 1 dicembre 2014 pag. 17 / 18

18 9 Glossario Azienda: La Società nei suoi aspetti operativi, organizzativi e decisionali. Linee Guida: le linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001 redatte da Confindustria e approvate dal Ministero della Giustizia. Mappatura: rilevazione dei processi e dei ruoli aziendali che in via teorica potrebbero essere attività e attori della commissione dei reati presupposto ex D. Lgs. 231/01. Modello: Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/01, adottato dalla Società Spezia Risorse s.p.a. nella sua interezza. Management: Dirigenti e responsabili di funzione. Organismo di Vigilanza o OdV : organismo interno preposto alla vigilanza sul funzionamento e sull osservanza del Modello da parte dei desinari e al relativo aggiornamento. Operazione Sensibile: operazione o atto che si colloca nell ambito dei Processi Sensibili e può avere natura commerciale, finanziaria, societaria o di altra natura. Processi aziendali sensibili: processi aziendali o attività della Società dove, per le loro caratteristiche, possono in via teorica realizzarsi i reati presupposto. Protocolli: si tratta di procedure e misure atte a prevenire la commissione dei reati presupposto. Reati presupposto: i reati ai quali si applica la disciplina prevista dal D.Lgs. 231/2001 e da cui può derivare l applicazione a carico dell ente di sanzioni amministrative. Risk Assessment o rilevazione dei rischi: Fase successiva alla mappatura. Consiste nell esame delle specifiche situazioni di rischio (possibili modalità e gravità della commissione dei reati) e valutazione della concreta idoneità delle procedure aziendali esistenti a prevenire la commissione dei reati. Risk Management o gestione del rischio: Dato la possibilità che un evento occorra, l intervento per la riduzione della probabilità di accadimento, la riduzione della perdite conseguenti o la mitigazione degli effetti, il trasferimento della perdita a terzi (rivalsa nei confronti dei responsabili dei reati, fideiussioni a garanzia, assicurazioni, ecc. ). Società: Ente titolare del presente Modello. * * * * * * * Spezia Risorse S.p.a. 1 dicembre 2014 pag. 18 / 18